资料来源：https:/zhuanlan.zhihu.com/p/26542790应急响应、防御模型与SDL1应急响应很多人认为应急响应就是脸上被黑的机器去查查什么情况，是不是被中了botnet病毒、是不是被人中了rootkit等，是不是被挂了webshell等。应急响应这件事情是一件技术含量非常高的事情，处理好了万事大吉，处理不好的话就很容易把系统搞崩溃，甚至引起一些不必要的情况。应急响应这件事儿，C$0和安全运营工程师的点其实不太一样，其实原因还是因为两个人的职责不一样，CSO是非常特别以及极其不愿意自己的公司名字出现在SC或者补天这些漏洞平台上，毕竞出现了的话领导是要过来请你喝茶的。其实应急响应是有一个流程的。大致流程如下：Phase1:准备阶段这里的准备就是准备用来检测的工具和人，比如说ls、Iosf、ss、论onfig这些东西Phase2:检测与分析阶段紧急事件监测：包括防火墙、系统、web服务器、IDS/WAF/SIEM中的日志，不正常或者是执行了越权操作的用户，甚至还有管理员的报告（可以是邮件也可以电话短信什么的你可以看到听到的东西)，我们要从这些数据中判断出受灾面积和攻击者入侵的点，然后才能谈下面的。应急响应初期：要根据上面监测的到的结果初步判定事件的类型，并且需要定义此次安全事件的级别。之后要做的是投入相关的资源进行分配，在此期间要把该安全事件的处理方式和进度告知管理层得到他们的支持，之后来组成一个临时的应急响应小组（后期可以专人专做)安全事件分级：其实就是决定什么对自己最重要，为紧急事件确定优先级充分利用现有资源（这里需要注意，不是所有的安全事件都要投入这些资源去完成）调查：这里就是调查整个事件的原因，取证追查，漏洞分析，后门检查，收集数据并分析Phase3:攻击缓解、根除和业务修复这里的目的主要是首先先控制受害范围，不要让攻击的影响继续蔓延到其他的T资产和业务环境，切记不要直接一股脑的投入全部精力到封堵后门。紧接着要做的是去寻找根源原因，彻底解决，封堵攻击源，把业务恢复到更张水平Phase4:攻击跟踪这里要根据各种监控去确定没有其他的攻击行为和攻击向量，紧接着就是开会反省此次事件，写报告，持续改进工作流程和工作缓解备阶检测与分析阶攻击攻击根业务修事件段段解除复踪其实这个就是应急响应中非常有效的PDCERF模型（参考NIST SP8O0-61):Prepare(准备)、Detection(检测)、Containment(抑制)、Eradication(根除)、Follow-Up(跟踪)，这个模型用来描绘应急响应是非常科学的。应急响应工作的顺利进行很大程度上依赖前面文章中提到那些数据映射关系和资产映射关系图，快速定位和准确找到负责人可以增加事件应急处理的效率，尽快解决应急响应带来的影响。2防御模型对于防御模型来说，其实安全建设的马斯洛层次很好的描绘了防御模型的建立和迭代：V0:不设防：也就是没有任何安全措施V1:认为自己是安全的：通过一些较为基础的安全措施做到基础的ACL,并且系统不存在任何的明显的漏洞。但是不具备复杂时间的应急响应，需要购买安全服务。这里评价的标准是：有一个信息安全团队并且保证交付的代码、服务器的环境没有明显的漏洞，并且做过渗透测试。V2：基本的应急响应：有攻防的能力，并且可以在不依赖外部安全服务的情况下做到能对大型信息安全突发事件进行抢救和修复，但是安全防护的体系并没有完全建立。这里评价的标准是：有一个攻防能力较强的安全团队，并且具备应急响应的能力。3:安全体系建立：到了这个阶段，安全工作应该具有一个完善的体系，能够覆盖全生命周期，开发与运维的环境有一个必要的流程，在一些业务和资产的架构上都会考虑安全问题，检测和安全防护手段能够根据不同的攻击场景针对性的调整。这里的评价标准包括：具备一个完整的纵深防御体系并且能够覆盖日常的应急响应和安全防护。4:除了保证基本的架构、应用和数据的安全之外，还能够在业务层面上也具有一个系统化的安全解决方案，这时候对抗的方式不仅仅来自于平时攻击的时间，还要关注业务逻辑方便的安全和跟高级别的攻击者（比如高级攻击者和黑产团队）的对抗。这里需要建立更高强度的风控体系和域安全措施，诸如安全域、账号体系、基础服务等。5:高级安全手段：以上层次基本上满足了吃饱吃好的要求，到了这个阶段就是前面2说的吃出逼格、吃出花样的时候了。这个阶段要引进业界先进的技术诸如态势感知、威胁情报体系、机器学习、深度学习、人工智能等业界前沿的技术来加入到安全管控体系中，也就是我们常说的最佳实践。这里要具备完整的纵深防御体系，要具备和攻击者精确对抗，能够完全了解谁在攻击我们，并且优化攻击拦截的成功率、及时性、准确性和自动化程度。评价企业安全建设做的好与坏的标准就是RO(投资回报率)，也就是能够利用较低的成本来防御较高成本的网络攻击，举个例子，别人打你一波DD0S需要花10块钱，而你防御住这个10块钱的攻击和对你造成的影响只有1毛钱，这说明攻击防御是有效的：反之，如果你防御这些攻击对你造成的影响和防御成本是100块钱，这样你的O就有问题了，防御可能需要继续优化或者重新思考。而对于一个安全负责人来说，影响投资回报率的因素如下：高级安全手段业务层次安全安全体系化基本应急响应能力自己认为自己是安全的系统化：具备一个系统化的蓝图，对安全建设有着大局观和感性认知管理体系化：这里详细说其实是两部分，也就是工具链建设（管理工具）和团队建设（管理人)，体系化有助于安全建设，并且能够增加响应能力。机遇与风险并存：做安全一定要能接受风险，并不是一个checklist的问题，checklist只能帮助你去建设并不能彻底杜绝安全问题，安全问题是人祸，一定程度上也会存在“天灾”。安全定位：要知道自己几斤几两，企业现有的安全措施在整个行业来说是什么水平，如何提高水平。能力匹配：安全团队的发展一定要跟得上公司的扩张速度，不能该激进的时候保守。大局观：安全不是一个团队的事情，是整个公司的事情，与各部门积极配合和沟通是必要的。2